Inko-cms

Certyfikat SSL - HTTPS dla Twojej strony WWW!

Certyfikat SSL - HTTPS dla Twojej strony WWW!

Certyfikat SSL to plik instalowany na serwerze, który szyfruje połączenie między przeglądarką użytkownika a serwerem, na którym znajdują się pliki strony. Dzięki certyfikatowi SSL adres strony zmienia się z HTTP na HTTPS, a w pasku adresu przeglądarki pojawia się kłódka. Bez certyfikatu przeglądarka wyświetla ostrzeżenie „Niezabezpieczone" – przez co każda strona www bez SSL traci wiarygodność w oczach wyszukiwarki oraz użytkownika jeszcze przed załadowaniem treści.

Czym jest certyfikat SSL i jak działa

SSL to skrót od Secure Sockets Layer – protokół szyfrowania danych przesyłanych między użytkownikiem a serwerem. Dziś technicznie używa się jego następcy TLS, ale nazwa SSL przyjęła się i funkcjonuje powszechnie.

Jak działa certyfikat SSL w praktyce? Gdy użytkownik wchodzi na stronę z certyfikatem, przeglądarka i serwer przeprowadzają tzw. handshake – wymianę kluczy szyfrujących. Od tego momentu wszystkie dane przesyłane pomiędzy użytkownikiem a serwerem są zaszyfrowane. Nikt, kto przechwytuje ruch sieciowy, nie może odczytać tych danych – ani haseł, danych osobowych, czy też numerów kart płatniczych.

Certyfikat SSL zapewnia weryfikację tożsamości – potwierdza, że strona internetowa, z którą łączy się użytkownik, należy rzeczywiście do właściciela strony wskazanego w certyfikacie. To chroni przed atakami man-in-the-middle, gdzie atakujący podszywa się pod prawdziwą witrynę.

Rodzaje certyfikatów SSL – DV, OV i EV

Nie każdy certyfikat oferuje ten sam poziom bezpieczeństwa i weryfikacji. Rodzaje certyfikatów SSL różnią się zakresem weryfikacji, ceną i przeznaczeniem.

Certyfikat DV (Domain Validation) to najprostszy typ certyfikatu. Weryfikacja polega wyłącznie na potwierdzeniu, że wnioskujący kontroluje daną domenę – przez e-mail, plik na serwerze lub rekord DNS. Certyfikat DV można wygenerować i zainstalować w kilka minut. To wystarczające rozwiązanie dla blogów, stron wizytówkowych i portali informacyjnych.

Certyfikat OV (Organization Validation) wymaga weryfikacji nie tylko domeny, ale też danych firmy – nazwy, adresu, numeru rejestracyjnego. Proces trwa kilka dni i wymaga dostarczenia dokumentów. Certyfikat OV zwiększa wiarygodność strony internetowej w oczach użytkowników, którzy mogą sprawdzić dane organizacji w szczegółach certyfikatu.

Certyfikat EV (Extended Validation) to najwyższy poziom weryfikacji. Wymaga szczegółowego sprawdzenia firmy przez urząd certyfikacji. W przeszłości strony z certyfikatem EV miały zielony pasek adresu – dziś większość przeglądarek tego nie wyświetla, ale dane organizacji nadal są widoczne w szczegółach certyfikatu. EV stosuje się w bankowości, sklepach internetowych i wszędzie tam, gdzie zaufanie użytkownika ma bezpośredni wpływ na konwersję.

Certyfikat Wildcard obejmuje domenę główną i wszystkie jej subdomeny jednocześnie. Jeśli masz domenę twojafirma.pl i subdomeny sklep.twojafirma.pl, blog.twojafirma.pl, panel.twojafirma.pl – certyfikat wildcard pokrywa wszystkie jednym plikiem. Bez wildcard musiałbyś zainstalować certyfikat dla każdej subdomeny oddzielnie i pilnować osobnych dat wygaśnięcia.

Darmowy certyfikat SSL – Lets Encrypt

Posiadania certyfikatu SSL nie musisz wiązać z kosztem. Certyfikat Lets Encrypt SSL jest darmowy, automatycznie odnawiany i akceptowany przez wszystkie główne przeglądarki internetowe. Organizacja Lets Encrypt działa non-profit i wydaje certyfikaty DV bezpłatnie od 2015 roku.

Darmowy certyfikat SSL od Lets Encrypt jest dostępny przez większość dostawców hostingu – często instalacja certyfikatu odbywa się jednym kliknięciem w panelu klienta. Certyfikat jest ważny 90 dni i odnawia się automatycznie, więc po jednorazowej konfiguracji nie musisz już o nim myśleć.

Darmowego certyfikatu Lets Encrypt nie powinieneś używać, gdy potrzebujesz certyfikatu OV lub EV – Lets Encrypt wydaje wyłącznie certyfikaty DV. Dla sklepu internetowego obsługującego płatności lub strony bankowej płatny certyfikat SSL z rozszerzoną weryfikacją to właściwy wybór.

Brak certyfikatu SSL – co to oznacza dla strony

Brak certyfikatu SSL to dziś poważny problem na kilku poziomach jednocześnie.

Przeglądarka Chrome od 2018 roku oznacza wszystkie strony HTTP jako „Niezabezpieczone" w pasku adresu. Firefox robi to samo. Użytkownik, który widzi to ostrzeżenie przy logowaniu lub formularzu kontaktowym, w większości przypadków opuszcza stronę natychmiast.

SSL jest jednym z czynników rankingowych Google. Strony z certyfikatem SSL mają przewagę w wynikach wyszukiwania nad stronami bez HTTPS. To nieduży sygnał, ale przy równej jakości treści i linków może decydować o pozycji. Wyszukiwarka aktywnie promuje bezpieczne witryny i penalizuje te bez szyfrowania.

Brak certyfikatu SSL oznacza też, że dane przesyłane przez formularze – dane osobowe, hasła, dane kart – lecą przez sieć w postaci jawnego tekstu i można je przechwycić bez większego wysiłku.

Jak zainstalować certyfikat SSL na stronie www

Wdrożenie certyfikatu SSL zależy od hostingu i typu certyfikatu. Przy darmowym Lets Encrypt przez panel hostingowy kroki są zazwyczaj proste.

W przypadku hostingu z cPanel lub DirectAdmin znajdziesz sekcję SSL/TLS lub Lets Encrypt. Wybierasz domenę, dla której chcesz aktywować certyfikat, klikasz „Zainstaluj" i po kilkudziesięciu sekundach certyfikat jest aktywny. Hosting automatycznie ustawia przekierowanie z HTTP na HTTPS.

Przy płatnym certyfikacie SSL proces wygląda inaczej. Kupujesz certyfikat u wystawcy (np. SSL Certum, DigiCert, Comodo), generujesz CSR (Certificate Signing Request) na serwerze, wysyłasz go do wystawcy, przechodzisz weryfikację, odbierasz pliki certyfikatu i instalujesz je ręcznie w konfiguracji serwera. Przy certyfikacie DV zajmuje to kilkadziesiąt minut. Przy OV i EV – od kilku dni do tygodnia.

W przypadku WordPressa warto po instalacji SSL sprawdzić, czy wszystkie zasoby strony – obrazki, skrypty, CSS – ładują się przez HTTPS. Mieszana zawartość (HTTP i HTTPS na jednej stronie) powoduje błędy w przeglądarce i blokuje kłódkę. Wtyczka Really Simple SSL wykrywa i automatycznie poprawia większość tego typu problemów po wdrożeniu certyfikatu.

Jak sprawdzić certyfikat SSL na stronie

Sprawdzić certyfikat SSL możesz na kilka sposobów. Najprostszy: kliknij kłódkę w pasku adresu przeglądarki i wybierz „Połączenie jest bezpieczne" lub „Certyfikat". Zobaczysz dane wystawcy, domenę, dla której certyfikat został wydany, i datę wygaśnięcia.

Do dokładniejszej analizy służą narzędzia online takie jak SSL Labs (ssllabs.com/ssltest) – wpisujesz adres strony i otrzymujesz szczegółowy raport o konfiguracji szyfrowania SSL, obsługiwanych protokołach i ewentualnych słabościach konfiguracji serwera.

Zainstalowany certyfikat SSL warto sprawdzić zaraz po instalacji i kilka tygodni przed datą wygaśnięcia – szczególnie przy certyfikatach płatnych, które nie odnawiają się automatycznie. Przeterminowany certyfikat powoduje ten sam efekt co jego brak – przeglądarka blokuje dostęp do strony i wyświetla ostrzeżenie o niezabezpieczonym połączeniu.

Który certyfikat SSL wybrać dla swojej domeny

Dla większości stron – blogów, portfolio, stron firmowych, landing page-y – darmowy certyfikat DV od Lets Encrypt w zupełności wystarczy. Szyfrowane połączenie, kłódka w przeglądarce, brak ostrzeżeń i przewaga SEO – wszystko to dostępne bez żadnego kosztu.

Dla sklepu internetowego z płatnościami online, strony obsługującej logowanie użytkowników lub serwisu finansowego – warto rozważyć płatny certyfikat SSL z weryfikacją OV lub EV. SSL z rozszerzoną weryfikacją buduje zaufanie i pokazuje, że za domeną stoi prawdziwa, zweryfikowana firma.

Certyfikat wildcard ma sens, gdy korzystasz z wielu subdomen i chcesz zarządzać certyfikatem dla każdej z nich z jednego miejsca. Przy jednej domenie głównej bez subdomen – certyfikat wildcard to zbędny koszt.

Dzięki certyfikatowi SSL twoja strona jest bezpieczna, wiarygodna i lepiej widoczna w wyszukiwarce. To jeden z tych elementów technicznych, który wpływa na wszystko – od zaufania użytkownika po pozycje strony w wynikach wyszukiwania.